JetBrains .idea项目目录泄露

最新推荐文章于 2023-10-10 04:45:00 发布
最新推荐文章于 2023-10-10 04:45:00 发布
阅读量4.3k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58534240/article/details/119059415
版权

描述:

  • 网站存在JetBrains系列IDE的工作区文件,可以泄露整个工程的目录结构信息。JetBrains是一家捷克的软件开发公司,该公司最为人所熟知的产品是Java编程语言开发撰写时所用的集成开发环境:IntelliJ IDEA。

workspace.xml

  • 存储个人设置,会有网站的绝对路径等

dataSoures.xml

  • 包含用于链接数据库和凭据的信息

实战

1.我们通过idea项目目录泄露成功查看到了workspace.xml文件

 

2.下面我们使用idea文件夹泄露利用工具去探测并且自动下载可能存在敏感文件https://github.com/lijiejie/idea_exploit

注意 这里的脚本需要用到python2.7的版本来使用

发现并没有探测出文件

由于博主的水平有限只能到这里了

m0_58534240
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
【漏洞挖掘】——65、IDEA文件信息泄露
Fly_鹏程万里
06-11 156
人为失误:在IntelliJ IDEA中开发者可能会意外将敏感信息存储在配置文件中,例如:在代码模板中存储密码等版本控制:如果将.idea目录中的配置文件添加到版本控制系统中,这些敏感信息将会被公开,从而导致信息泄露的问题配置文件:.idea目录中包含了IntelliJ IDEA的配置文件,例如:项目配置、代码模板、插件配置等,在这些配置文件中可能会存储敏感信息,例如:密码、API密钥、证书等。
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
BitTraversal-开发中 安装 要求 BurpSuite >= 1.7 JVM 运行时 >= 1.8 从 GitHub 安装 从 github 下载最新版本 使用 burpsuite 导航到Extender > Add 选择下载的.jar文件 核心理念 Mutator 将针对从 burpsuite 看到的每个请求运行,例如(代理、转发器、扫描仪)生成许多潜在的 url,每个都附加一个要传递给 Executor 和 Detector 类的有效负载,以检测其中一种检测技术是否成功 该插件使用两种主要技术来识别目录遍历漏洞 检测方法 静电检测 动态检测 i) 使用在中指定的预定义有效,这些将在运行时从 GitHub 获取并与匹配 ii) 仍在开发中。 目的是检测与/static/css/main.css/和/static/../static/css/main.css相同的响应请求,
JetBrains .idea project directory (详细利用教程)
hanzhen668的博客
01-04 7315
网上很多资料不是很详细,今天正好遇到一个,找了很久的资料最终才验证成功,分享出来给大家。 一般网上的资料就是 www.xx.com/.idea/workspace.xml //存储个人设置,会有网站的绝对路径等 www.xx.com/.idea/dataSoures.xml //包含用于链接数据库和凭据的信息 就没有后面的详细验证步骤了,打开后一堆字符串,可能我太菜了看不懂吧,能看懂的大佬勿喷我。 继续利用方法: 得到 XXXX.com/.idea路径后可以利用github上一位大佬写的
web漏洞-. idea目录信息泄露
qq_35578446的博客
06-13 6655
攻击者可以通过分析数据包内容或使程序报错等方式获得网站敏感文件,从而有针对性的进行利用攻击,可能产生的危害包括不限于:SQL注入,代码执行,文件上传,社会工程学攻击等。
【IntelliJ IDEA 2019.3】java遍历目录
03-31 304
遍历目录: // 通过递归得到某一路径下所有的目录及其文件 public static void getFiles(String filePath){ File root = new File(filePath); File[] files = root.listFiles(); for(File file:files){ ...
idea 2021.1.3版本
最新发布
06-11
IntelliJ IDEA 2021.1.3是一款由JetBrains公司开发的著名集成开发环境(IDE),专为Java开发者设计,同时也支持其他多种编程语言。这个版本是该系列的稳定更新,提供了许多增强功能和修复了已知问题,以提升开发者的...
IDEA登陆注册页面.rar
07-10
IDEAJetBrains公司推出的一款强大的Java开发工具,它提供了代码自动补全、重构、调试等众多功能,极大地提高了开发效率。在本项目中,我们将利用IDEA创建Java Web应用,构建登陆注册页面的后端逻辑。 接着,我们...
idea 加强插件 idea 加强插件
03-27
IntelliJ IDEA是一款广受欢迎的Java集成开发环境(IDE),由JetBrains公司开发。它以其高效、智能的代码补全、强大的调试工具和丰富的插件系统而闻名。"idea 加强插件"指的是用于增强IntelliJ IDEA功能的第三方插件...
FindBugs_Idea
07-20
3. 如果项目过大,可以考虑配置"Exclude Filters",排除不需检查的文件或目录。 **六、与其他工具的集成** FindBugs不仅支持IDEA,还可以与Maven、Gradle等构建工具配合使用,实现持续集成中的代码质量检查。 总的...
jrebel idea 插件包
04-26
IdeaJetBrains公司推出的著名Java集成开发环境IntelliJ IDEA的简称,广受开发者喜爱。"jrebel idea 插件包"就是将JRebel的功能集成到Idea中的一个插件,使得Idea用户能够享受到即时更新的便利。 安装JRebel IDEA...
vulfocus靶场通关(目录遍历)
信安是不可或缺的一部分!
01-31 2248
该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。但是,删除运行应用程序的用户对运行应用程序不需要的任何目录的读取访问权限可以限制影响。受影响的版本为 8.5.14 之前的版本、8.13.6 之前的 8.6.0 版本以及 8.16.1 之前的 8.14.0 版本。uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言,uWSGI 2.0.17之前的PHP插件,没有正确的处理DOCUMENT_ROOT检测,导致用户可以通过…
[IDEA]~IDEA使用相关(总目录-持续更新)
帝风
09-26 168
IDEA使用一些经验
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5688
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
/.idea/workspace.xml漏洞以及解决方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-11 4362
/.idea/workspace.xml危害:由于开发人员使用JetBrains系列开发工具开发web应用,上传代码至服务器时,未排除web开发目录下的.idea文件夹导致该目录被上传至服务器web目录。 /.idea/workspace.xml描述:发现JetBrains .idea.idea/workspace.xml,攻击者可通过泄露JetBrains .idea.idea/workspace.xml 文件获得部分web应用脚本信息 /.idea/workspace.xml解决方法:删除.idea
JetBrains idea项目目录泄露
Jiajiajiang_的博客
11-22 7820
www.xx.com/.idea/workspace.xml //存储个人设置,会有网站的绝对路径等 www.xx.com/.idea/dataSoures.xml //包含用于链接数据库和凭据的信息
.idea文件泄露利用脚本-idea_exploit
siu~
08-21 780
关于从(.idea)文件夹中收集渗透测试人员的敏感信息
各类高危漏洞介绍及验证方式教程(二)
锦慈的技术博客
10-10 499
Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。workspace.xml,可直接获取整个工程的目录结构,发现敏感文件,为渗透中收集信息、发现漏洞提供了极大的便利。
com.intellij.util.xmlb.Binding - no accessors for class org.jetbrains.kotlin.idea.highlighter.KotlinDefaultHighlightingSettingsProvider 这个粗呢
07-10
这个错误通常表示在绑定(binding)过程中,类 `org.jetbrains.kotlin.idea.highlighter.KotlinDefaultHighlightingSettingsProvider` 没有可访问的访问器(accessor)。 绑定是指将 XML 数据绑定到 Java 类的过程。在 IntelliJ IDEA 中,XML 序列化和反序列化使用的是 XML 库和注解。但是,如果类缺少适当的访问器方法,绑定过程就会失败。 要解决这个错误,你可以尝试以下几个步骤: 1. 确认类的访问器方法存在:检查 `KotlinDefaultHighlightingSettingsProvider` 类中是否存在公共的访问器方法(getter 和 setter)。确保这些方法符合 JavaBean 规范,并且名称和类型与对应的属性匹配。 2. 检查类的注解配置:确保 `KotlinDefaultHighlightingSettingsProvider` 类上的注解配置正确,并且与绑定过程的期望结果一致。特别是,检查是否存在与 XML 元素名称对应的注解。 3. 更新或修复插件:如果你遇到这个错误是因为 IntelliJ IDEA 或 Kotlin 插件的问题,尝试更新或重新安装相关插件版本。有时候,插件更新可以修复已知的问题或缺陷。 4. 向开发者报告问题:如果以上步骤都无法解决问题,你可以向 IntelliJ IDEA 或 Kotlin 插件的开发者报告该问题。他们可能会提供更详细的指导或修复。 需要注意的是,这个错误可能是由于插件或框架的问题引起的,因此你可能无法直接解决它。在这种情况下,寻求插件或框架的开发者支持可能是解决问题的最佳途径。 希望这些提示能够帮助你解决问题,如果你有任何其他疑问,请随时提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值